Diverse Ports werden geblockt !?

Debian macht sich hervorragend als Web- und Mailserver. Schau auch in den " Tipps und Tricks"-Bereich.
Antworten
cbastian
Beiträge: 6
Registriert: 04.04.2016 09:23:11

Diverse Ports werden geblockt !?

Beitrag von cbastian » 04.04.2016 09:26:45

Hallo,

bin ein Neuer unter Debian und habe seit Freitag nun einen Debian 7-Server eingerichtet.

Seltsamerweise gehen meine Webseiten über Port 80 ohne Probleme.

Auch der Zugriff mit SSH über 22 funktioniert wunderbar.

Was nicht geht sind FTP und Mail

Hat da jemand eine Idee ?

iptables -L liefert folgendes Ergebnis:

Code: Alles auswählen

Chain INPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN state NEW reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:12443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:11443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:11444
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8447
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8443
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:8880
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ftp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:smtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:ssmtp
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imap2
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:poppassd
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:mysql
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:postgresql
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9008
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:9080
ACCEPT     udp  --  anywhere             anywhere             udp dpt:netbios-ns
ACCEPT     udp  --  anywhere             anywhere             udp dpt:netbios-dgm
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:netbios-ssn
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:microsoft-ds
ACCEPT     udp  --  anywhere             anywhere             udp dpt:openvpn
ACCEPT     udp  --  anywhere             anywhere             udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:domain
ACCEPT     icmp --  anywhere             anywhere             icmptype 8 code 0
DROP       all  --  anywhere             anywhere

Chain FORWARD (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN state NEW reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
DROP       all  --  anywhere             anywhere

Chain OUTPUT (policy DROP)
target     prot opt source               destination
ACCEPT     all  --  anywhere             anywhere             state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere             tcpflags:! FIN,SYN,RST,ACK/SYN state NEW reject-with tcp-reset
DROP       all  --  anywhere             anywhere             state INVALID
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
Die Ports sind lokal funktionsfähig... Nur von außen klappt es nicht...

Sorry, falls ich im falschen Bereich gelandet bin... Wusste nicht genau wohin :)

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Diverse Ports werden geblockt !?

Beitrag von rendegast » 04.04.2016 10:38:20

Mail und ftp lauschen nur auf localhost?
Dürfte dann auch bei nicht aktivierten iptables-Filtern nicht funktionieren.
Als root:

Code: Alles auswählen

netstat -tpaun
Obiges ist '-t filter'.
Vielleicht hast Du im '-t nat' oder den anderen eine verhindernde Regel?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

cbastian
Beiträge: 6
Registriert: 04.04.2016 09:23:11

Re: Diverse Ports werden geblockt !?

Beitrag von cbastian » 04.04.2016 11:04:46

Ein netstat -tpaun liefert:

Code: Alles auswählen

Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:110             0.0.0.0:*               LISTEN      3751/dovecot
tcp        0      0 0.0.0.0:143             0.0.0.0:*               LISTEN      3751/dovecot
tcp        0      0 0.0.0.0:8880            0.0.0.0:*               LISTEN      3611/sw-cp-serverd
tcp        0      0 xxx.xxx.xx.xx:80        0.0.0.0:*               LISTEN      2691/nginx
tcp        0      0 0.0.0.0:465             0.0.0.0:*               LISTEN      3929/master
tcp        0      0 xxx.xxx.xx.xx:53        0.0.0.0:*               LISTEN      2144/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      2144/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      3584/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      3929/master
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      2144/named
tcp        0      0 0.0.0.0:8443            0.0.0.0:*               LISTEN      3611/sw-cp-serverd
tcp        0      0 xxx.xxx.xx.xx:443       0.0.0.0:*               LISTEN      2691/nginx
tcp        0      0 0.0.0.0:4190            0.0.0.0:*               LISTEN      3751/dovecot
tcp        0      0 127.0.0.1:12768         0.0.0.0:*               LISTEN      2718/psa-pc-remote
tcp        0      0 0.0.0.0:993             0.0.0.0:*               LISTEN      3751/dovecot
tcp        0      0 0.0.0.0:995             0.0.0.0:*               LISTEN      3751/dovecot
tcp        0    384 xxx.xxx.xx.xx:22        xx.xxx.xxx.xxx:54717     ESTABLISHED 4483/0
tcp6       0      0 :::7080                 :::*                    LISTEN      2184/apache2
tcp6       0      0 :::7081                 :::*                    LISTEN      2184/apache2
tcp6       0      0 :::106                  :::*                    LISTEN      4348/xinetd
tcp6       0      0 :::3306                 :::*                    LISTEN      2665/mysqld
tcp6       0      0 :::110                  :::*                    LISTEN      3751/dovecot
tcp6       0      0 :::143                  :::*                    LISTEN      3751/dovecot
tcp6       0      0 :::8880                 :::*                    LISTEN      3611/sw-cp-serverd
tcp6       0      0 :::465                  :::*                    LISTEN      3929/master
tcp6       0      0 :::21                   :::*                    LISTEN      4348/xinetd
tcp6       0      0 :::53                   :::*                    LISTEN      2144/named
tcp6       0      0 :::22                   :::*                    LISTEN      3584/sshd
tcp6       0      0 :::25                   :::*                    LISTEN      3929/master
tcp6       0      0 :::8443                 :::*                    LISTEN      3611/sw-cp-serverd
tcp6       0      0 :::4190                 :::*                    LISTEN      3751/dovecot
tcp6       0      0 :::993                  :::*                    LISTEN      3751/dovecot
tcp6       0      0 :::995                  :::*                    LISTEN      3751/dovecot
udp        0      0 0.0.0.0:58392           0.0.0.0:*                           1998/dhclient
udp        0      0 xxx.xxx.xxx.xxx:53        0.0.0.0:*                           2144/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           2144/named
udp        0      0 0.0.0.0:68              0.0.0.0:*                           1998/dhclient
udp6       0      0 :::53                   :::*                                2144/named
udp6       0      0 :::15632                :::*                                1998/dhclient
Das sieht doch eigentlich gut aus, oder ?

Eigentlich sollten sie so doch auch nach außen lauschen, oder ?

Bin nicht ganz so bewandert in den Firewall-Dingen unter Debian/Linux... :)

Edit: Ach... Jetzt ist der Groschen gefallen...

Du meinst die Dienste, die mit 0.0.0.0 auftauchen hören nur intern...!?

Das erklärt einiges :D

Da muss ich jetzt mal dran drehen.... :)

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Diverse Ports werden geblockt !?

Beitrag von rendegast » 04.04.2016 11:27:26

xinetd (Debianpure-ftpd?) horcht nur an tcp6:21.


dovecot und master (postfix) horchen jedoch an 0.0.0.0,
muß da andere Ursachen haben.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

cbastian
Beiträge: 6
Registriert: 04.04.2016 09:23:11

Re: Diverse Ports werden geblockt !?

Beitrag von cbastian » 04.04.2016 11:34:48

Es läuft ein proftpd ...

Seltsam, daß er nur auf tcp6 hört...

Wichtiger sind mir allerdings die Mail-Zugriffe...

Mal sehen, ob ich da was in der Config finde...

cbastian
Beiträge: 6
Registriert: 04.04.2016 09:23:11

Re: Diverse Ports werden geblockt !?

Beitrag von cbastian » 04.04.2016 12:35:15

Ich hatte es jetzt mal so konfiguriert, dass postfix und dovecot auf der einen wichtigen Adresse hören.

Aber es brachte keinen Unterschied.

Der Maschine ist die Adresse nach außen ja auch bekannt, sonst könnte ich ja nicht drauf...

Was könnte das noch sein...

In den Logs ist nichts zu finden...

Ansonsten schon mal herzlichen Dank für die Hilfe :)

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: Diverse Ports werden geblockt !?

Beitrag von rendegast » 04.04.2016 12:47:43

Portfilter auf Deinem DSL-Router?
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

cbastian
Beiträge: 6
Registriert: 04.04.2016 09:23:11

Re: Diverse Ports werden geblockt !?

Beitrag von cbastian » 04.04.2016 13:15:26

Der Server steht bei einem Provider im Rechenzentrum...

Da zieht nur das, was ich auf dem Server selbst einrichte...Der Rest ist offen...

Aus dem gleichen Netz im Rechenzentrum von einem meiner anderen Server komme ich auch nicht ran.

Seltsam ist, dass die Ports/services aus netstat -tpaun funktionieren, die nur auf der Haupt-Adresse hören.

Deshalb mein Test mit dem Austausch von 0.0.0.0 gegen xxx.xxx.xxx.xxx

Allerdings sollte 0.0.0.0 ja auf alle eingebauten Interfaces hören...

Ich werde mal noch das Risiko eingehen und kurz alle Ports aufmachen für ne Minute...

Wenn es klappt, liegt es an den Firewall-Regeln... Wenn nicht, vielleicht doch an den Services/Listenern...

cbastian
Beiträge: 6
Registriert: 04.04.2016 09:23:11

Re: Diverse Ports werden geblockt !?

Beitrag von cbastian » 04.04.2016 13:57:17

Ich habe den Fehler gefunden...Und muss mich korrigieren...
Da zieht nur das, was ich auf dem Server selbst einrichte...Der Rest ist offen...
Da es sich bei dem neuen Server um einen Cloud-Server handelt (meine anderen sind dedizierte Maschinen),

gibt es zusätzlich noch eine Firewall-Einstellung des Providers :facepalm:

Darauf hätte man mich auch hinweisen können...

Jetzt klappt alles wunderbar...

Muss sagen, dass mir das Debian grundsätzlich gut gefällt...Ich glaube dabei bleibe ich :)

Noch mal vielen Dank für die Unterstützung... :THX:

Antworten